Les chercheurs en menaces de Lares rencontrent un large ventail de failles de scurit et de vulnrabilits lorsqu’ils mnent des exercices Purple Team pour le compte de leurs clients. Au fil du temps, les mmes erreurs non forces semblent revenir si souvent que la socit Lares avertit les quipes de scurit qu’elles doivent dvelopper des pratiques normalises pour se dfendre contre elles.
L’unit Lares Adversarial Collaboration Unit assiste les clients dans le cadre d’engagements de collaboration dfensive et d’valuations Purple Team, qui combinent des techniques offensives et dfensives pour renforcer les protections en matire de scurit. Les Red Teams imitent les attaquants externes ou internes, tandis que les Blue Teams servent de dfenseurs de la scurit interne. Les Purple Teams aident les deux parties en alignant les tactiques dfensives des Blue Teams sur les menaces tentes par les Red Teams.
La firme de scurit Lares a rcemment publi une nouvelle tude mettant en vidence les cinq principales conclusions du Purple Team que les quipes ont rencontres au cours de l’anne coule dans le cadre de centaines de missions pour le compte de clients. Les erreurs vitables les plus frquentes sont l’enregistrement inadquat ou inutile des vnements, le manque de connaissances en matire de scurit offensive, les relations de codpendance au sein du centre d’oprations de scurit (SOC), une dpendance malsaine l’gard des outils et le fait de jeter de l’argent par les fentres.
Pour dfendre correctement leur organisation, les professionnels de la scurit doivent connatre les dernires menaces et savoir comment y rpondre. En outre, ils doivent viter de dpendre des outils et se concentrer sur le dveloppement de comptences essentielles qui ne peuvent ou ne doivent pas tre externalises.
Les 5 principales conclusions tires des recherches Purple Teams de Lares
Enregistrement inadquat ou inutile des vnements : Les vnements sont un lment essentiel du dispositif de scurit de toute organisation. De nombreuses organisations devraient accorder plus d’attention aux vnements critiques, ou collectent trop d’vnements inutiles qui remplissent l’espace de stockage et masquent des donnes importantes. Dans leur inattention, elles peuvent ngliger des signes importants d’activit malveillante. Les organisations doivent slectionner avec soin les vnements qu’elles collectent pour viter ces problmes et s’assurer que tous les points de donnes collects rpondent leurs besoins en matire de scurit. Ce faisant, elles peuvent mettre en place un systme de dtection et de rponse efficace et amliorer leur position globale en matire de scurit.
Manque de connaissances en matire de scurit offensive : La surveillance de l’environnement d’une organisation pour dtecter les menaces potentielles exige plus qu’une simple comprhension de base des tactiques, techniques et procdures (TTP) de l’adversaire. Il est important d’identifier quand et comment ces tactiques, techniques et procdures sont utilises afin de prendre les mesures appropries pour dfendre l’organisation. Par exemple, le contrle de la scurit peut ncessiter la surveillance des communications internes afin d’identifier les indicateurs potentiels d’activits malveillantes. En ayant une bonne comprhension de l’environnement de l’organisation et des TTP adverses, les personnes charges de la surveillance peuvent dtecter les menaces et y rpondre plus efficacement.
Relations de codpendance dans le SOC : De nombreux centres d’oprations de scurit (SOC) grs introduisent de nouveaux problmes pour les quipes dfensives au lieu de les rsoudre. Cela se produit souvent parce que les SOC grs sont confronts des dlais d’alerte excessifs, qu’ils suppriment les vnements critiques et qu’ils ne peuvent pas introduire la tlmtrie qui est importante.
Les retards d’alerte surviennent lorsque le SOC gr ne configure pas correctement les outils et les technologies permettant de dtecter les incidents de scurit et d’y rpondre. Les vnements qui pourraient tre utiliss pour contrecarrer les attaques sont retards ou ne sont jamais vus. En outre, les SOC grs suppriment souvent les vnements critiques en raison de la pression exerce par la direction ou les clients externes. Enfin, les SOC grs ne parviennent souvent pas introduire des donnes tlmtriques importantes pour l’incident. En effet, ils sont guids par des mesures qui ne refltent pas ncessairement l’impact rel des incidents de scurit. Par consquent, de nombreux SOC grs ne parviennent pas fournir les informations et les donnes ncessaires pour comprendre et traiter les causes profondes des menaces de scurit.
Une dpendance malsaine l’gard des outils : Un autre problme concerne les dfenseurs qui deviennent trop dpendants des solutions de dtection et de rponse au niveau des terminaux (EDR) et de dtection et de rponse tendues (XDR), s’attendant ce qu’elles trouvent tous les mauvais acteurs. Cet tat d’esprit peut conduire des faux positifs et des attributions errones. L’EDR et l’XDR doivent tre considrs comme des lments d’une solution de scurit plus large, et non comme le seul point de surveillance. Ce n’est qu’en adoptant une approche plus holistique de la scurit que les organisations pourront garder une longueur d’avance sur le paysage des menaces.
Jeter l’argent par les fentres : Il est galement frquent que les organisations externalisent leurs connaissances en matire de mesures dfensives. Bien que cette solution puisse sembler la plus simple, elle fait plus de mal que de bien en empchant les employs d’acqurir les comptences essentielles dont ils ont besoin pour tre efficaces et en cotant plus d’argent l’entreprise au fil du temps. Au lieu d’externaliser toutes les connaissances en matire de scurit, les entreprises devraient investir dans leurs employs et leur permettre d’apprendre et de se dvelopper. Les entreprises devraient galement mettre en uvre des mesures de dtection et de protection qui correspondent directement aux mthodes et aux mcanismes de l’adversaire. Cette approche permet aux employs d’acqurir les comptences dont ils ont besoin pour russir, tout en permettant l’organisation d’conomiser de l’argent long terme.
Dans l’environnement de cyberscurit actuel, qui volue rapidement, il ne suffit pas de comprendre les tactiques de l’adversaire. Les quipes de scurit doivent galement rester attentives aux problmes potentiels qui peuvent dcouler de leurs propres mesures dfensives.
Source : Rapport intitul « Introducing the Top 5 Purple Team Findings of 2022 » publi par Lares
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions de l’tude Purple Team de Lares ? Trouvez-vous qu’elles sont pertinentes ?
Voir aussi